Publicat el 21 de juny del 2026 · per Qubit Technologies
El que canvia quan l'atacant fa servir intel·ligència artificial
El Centre Criptològic Nacional ha publicat una guia sobre IA ofensiva. El seu missatge de fons afecta qualsevol empresa, no només l'Administració, perquè la intel·ligència artificial no inventa atacs nous, accelera els de sempre i redueix dràsticament el temps que teniu per reaccionar.
El Centre Criptològic Nacional acaba de publicar una guia dedicada a la IA ofensiva, la BP/36. No és un document alarmista ni de ciència-ficció, és un organisme públic seriós reconeixent una cosa que ja està passant, que els atacants fan servir intel·ligència artificial en campanyes reals.
Convé llegir-la amb calma, perquè el que descriu no afecta només l’Administració. Afecta qualsevol empresa, també la vostra, perquè canvia una cosa molt concreta del càlcul de risc, el temps.
La IA no inventa atacs nous, els accelera
La idea més important de la guia no és que apareguin amenaces mai vistes. És que les de sempre es tornen més ràpides, més barates i més fàcils de llançar a gran escala. El phishing, el reconeixement, la cerca d’errors, tot això ja existia. La IA només li ha tret el fre.
Les xifres que recull l’informe ho deixen clar. Un correu de phishing escrit amb IA encerta molt més que un de tradicional. El reconeixement d’una víctima, que abans portava hores de feina manual, ara és automàtic i constant. Hi ha escanejos massius buscant portes obertes a un ritme que cap persona podria igualar.
Segons les dades que cita el CCN-CERT, el phishing recolzat en IA arriba a tenir una taxa d’èxit del 54 per cent, davant del 12 per cent de les campanyes de sempre. No és una millora petita, és multiplicar per més de quatre la probabilitat que algú piqui.
El temps de reacció s’encongeix
Per a una empresa, la conseqüència pràctica de tot això es resumeix en una paraula, velocitat. Abans, entre que es descobria un error i algú l’aprofitava passava un temps, de vegades setmanes. Aquell marge era el vostre coixí per assabentar-vos, apedaçar i tancar la porta.
Aquell coixí s’està desfent. La guia ho diu sense embuts, cal assumir que la finestra entre que es publica un pegat i algú explota aquell error és mínima. La IA permet passar de detectar una oportunitat a atacar-la a velocitat de màquina, sense que cap humà hagi d’estar al davant.
La frase de la guia que més us interessa
Entre totes les recomanacions del document n’hi ha una que resumeix el canvi de mentalitat millor que cap altra. Cal assumir que qualsevol vulnerabilitat que tingueu en producció serà descoberta abans per un atacant.
Llegiu-la un altre cop, perquè ho canvia tot. No diu que podria passar, diu que cal donar-ho per fet. Si teniu un error exposat, la pregunta ja no és si el trobaran, és si el trobareu vosaltres primer. Amb un atacant que automatitza la cerca, arribar segons tard és arribar tard del tot.
Què vol dir això a la pràctica
La resposta que planteja la guia no és comprar una eina màgica d’IA defensiva. És una cosa més assenyada, tornar al bàsic i fer-ho bé. Saber què teniu exposat en tot moment, reduir la superfície que un atacant pot mirar, apedaçar de pressa el que de debò importa i donar per fet que en algun moment algú entrarà.
Hi ha a més una part que encaixa just amb el que fem. Si cal assumir que un atacant trobarà els vostres errors abans que vosaltres, l’única manera d’avançar-vos és buscar-los vosaltres primer, amb la mateixa mentalitat ofensiva que ara va potenciada per IA.
Que un organisme com el CCN-CERT dediqui una guia sencera a això no és per espantar, és un senyal que el terreny ha canviat. La bona notícia és que la defensa de fons continua sent la mateixa de sempre, mirar la vostra pròpia seguretat amb els ulls de qui us vol atacar, només que ara hi ha menys temps per fer-ho. D’això parlàvem a per què auditar surt més barat que ignorar-la.
Si voleu saber què trobaria avui un atacant als vostres sistemes abans que ho faci de debò, escriviu-nos a [email protected].